CISA KEV Kataloğuna İki Yeni Kritik Güvenlik Açığı Eklendi: Windchill ve Cisco Unified Communications Manager Yazılım

CISA KEV Kataloğuna İki Yeni Kritik Güvenlik Açığı Eklendi: Windchill ve Cisco Unified Communications Manager

CISA, iki yeni kritik güvenlik açığını aktif istismar kanıtlarına dayanarak KEV kataloğuna ekledi. PTC Windchill ve Cisco Unified Communications Manag

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak istismar edildiği tespit edilen iki yeni güvenlik açığını Known Exploited Vulnerabilities (KEV) Kataloğu'na ekledi. Bu katalog, federal kurumların öncelikli olarak düzeltmesi gereken yüksek riskli zafiyetleri listeliyor. Eklenen açıklardan ilki olan CVE-2026-12569, PTC'nin Windchill ve FlexPLM ürünlerinde hatalı girdi doğrulamasından kaynaklanıyor. İkincisi ise CVE-2026-20230 koduyla takip edilen Cisco Unified Communications Manager'daki Sunucu Taraflı İstek Sahteciliği (SSRF) zafiyeti. Her iki açık da siber saldırganlar tarafından sıklıkla kullanılan saldırı vektörleri arasında yer alıyor.

CISA'nın yayımladığı Bağlayıcı Operasyonel Direktif (BOD) 26-04, Federal Sivil Yürütme Organı (FCEB) kurumlarının güvenlik güncellemelerini risk bazlı bir yaklaşımla yönetmelerini zorunlu kılıyor. Bu direktif, KEV Kataloğu'nun önemini pekiştirirken, federal ajansların özellikle kamuya açık varlıklarda tam kontrol sağlayan yüksek riskli zafiyetlere karşı hızlı düzeltme yapmasını şart koşuyor. Ayrıca, daha düşük riskli açıklar için aksiyon alınmasını ertelemeye izin veriyor. BOD 26-04, yama uygulanmadan önce sistemlerin tehdit aktörleri tarafından ele geçirilip geçirilmediğinin kontrol edilmesi için temel beklentileri de belirliyor.

CVE-2026-12569, PTC Windchill ve FlexPLM ürünlerinde bulunan bir girdi doğrulama hatasıdır. Bu zafiyet, saldırganların özel hazırlanmış girdiler göndererek sistem üzerinde istenmeyen işlemler gerçekleştirmesine olanak tanıyabilir. PTC, ürün gamında özellikle ürün yaşam döngüsü yönetimi (PLM) çözümleriyle tanınan bir firma. Windchill, mühendislik ve imalat süreçlerinde yaygın olarak kullanıldığından, bu açığın kritik altyapılara sızma girişimlerinde kullanılması muhtemel. CISA, bu açığın aktif olarak istismar edildiğini doğrulamış durumda.

CVE-2026-20230 ise Cisco Unified Communications Manager (CUCM) ürününde bir Sunucu Taraflı İstek Sahteciliği (SSRF) zafiyetidir. SSRF açıkları, saldırganların hedef sunucuyu kullanarak dahili ağlara erişmesine, hassas verilere ulaşmasına veya diğer sistemlere saldırmasına olanak tanır. Cisco Unified Communications Manager, kurumsal ses ve video iletişimini yöneten kritik bir platform olduğu için bu zafiyet, büyük kuruluşlar için ciddi bir tehdit oluşturuyor. Cisco, bu açık için bir güvenlik danışmanı yayımlamış ve yama yayınlamış olabilir; ancak CISA'nın KEV kataloğuna eklemesi, düzeltmenin aciliyetini vurguluyor.

Detaylar ve Etkileri

BOD 26-04 direktifi yalnızca FCEB kurumlarını bağlasa da CISA, tüm kuruluşları risk bazlı güvenlik açığı yönetimi benimsemeye ve KEV kataloğundaki zafiyetlere öncelik vermeye teşvik ediyor. Özellikle kamuya açık sistemlerde bu açıkların varlığı, saldırganlara tam kontrol imkanı sağlayabileceğinden acil yama uygulanması hayati önem taşıyor. Kuruluşlar, güvenlik ekiplerinin bu tür kritik açıkları hızlıca tespit edip düzeltebilmesi için süreçlerini gözden geçirmeli. Ayrıca, yama öncesi sistemlerin tehlikeye girip girmediğini kontrol etmek için gerekli adli bilişim prosedürlerini hazır bulundurmalı.

CISA, KEV kataloğunda olmayan ancak istismar edildiği bilinen başka güvenlik açıkları varsa, bunların kataloğa eklenmesi için KEV Aday Gösterme Formu aracılığıyla bildirim yapılabileceğini duyurdu. Kataloğa eklenecek adayların bir CVE kimliğine, istismar kanıtına ve net bir düzeltme rehberine sahip olması gerekiyor. Bu sayede siber güvenlik topluluğu, en kritik tehditlere karşı ortak bir savunma hattı oluşturabiliyor. Kullanıcıların ve sistem yöneticilerinin, ilgili ürün satıcılarının yamalarını takip etmeleri ve güncellemeleri gecikmeden uygulamaları öneriliyor.

Kaynak: cisa.gov

Paylaş: